【Js】---JS中的跨域問題

1、什麼是跨域？

1.定義：跨域是指從一個域名的網頁去請求另外一個域名的資源。好比從www.baidu.com 頁面去請求 www.google.com 的資源。可是通常狀況下不能這麼作，它是由瀏覽器的同源策略形成的，是瀏覽器對JavaScript施加的安全限制。跨域的嚴格一點的定義是：只要 協議，域名，端口有任何一個的不一樣，就被看成是跨域

所謂同源是指，域名，協議，端口均相同。這裏說的js跨域是指經過js在不一樣的域之間進行數據傳輸或通訊，好比用ajax向一個不一樣的域請求數據，或者經過js獲取頁面中不一樣域的框架中(iframe)的數據。

概念：只要協議、域名、端口有任何一個不一樣，都被看成是不一樣的域。

http://www.123.com/index.html 調用 http://www.123.com/server.PHP （非跨域）

http://www.123.com/index.html 調用 http://www.456.com/server.php （主域名不一樣:123/456，跨域）

http://abc.123.com/index.html 調用 http://def.123.com/server.php （子域名不一樣:abc/def，跨域）

http://www.123.com:8080/index.html 調用 http://www.123.com:8081/server.php （端口不一樣:8080/8081，跨域）

http://www.123.com/index.html 調用 https://www.123.com/server.php （協議不一樣:http/https，跨域）

請注意：localhost和127.0.0.1雖然都指向本機，但也屬於跨域。

瀏覽器執行javascript腳本時，會檢查這個腳本屬於哪一個頁面，若是不是同源頁面，就不會被執行。

對於端口和協議的不一樣，只能經過後臺來解決。

2、爲何瀏覽器要限制跨域訪問呢？

緣由就是安全問題：若是一個網頁能夠隨意地訪問另一個網站的資源，那麼就有可能在客戶徹底不知情的狀況下出現安全問題。好比下面的操做就有安全問題：

1. 用戶訪問www.mybank.com ，登錄並進行網銀操做，這時cookie啥的都生成並存放在瀏覽器
2. 用戶忽然想起件事，並迷迷糊糊地訪問了一個邪惡的網站 www.xiee.com
3. 這時該網站就能夠在它的頁面中，拿到銀行的cookie，好比用戶名，登錄token等，而後發起對www.mybank.com 的操做。
4. 若是這時瀏覽器不予限制，而且銀行也沒有作響應的安全處理的話，那麼用戶的信息有可能就這麼泄露了。

3、爲何要跨域？

既然有安全問題，那爲何又要跨域呢？ 有時公司內部有多個不一樣的子域，好比一個是location.company.com ,而應用是放在app.company.com , 這時想從 app.company.com去訪問 location.company.com 的資源就屬於跨域。

4、解決跨域問題的方法

（1）跨域資源共享（CORS）

CORS（Cross-Origin Resource Sharing）跨域資源共享，定義了必須在訪問跨域資源時，瀏覽器與服務器應該如何溝通。CORS背後的基本思想就是使用自定義的HTTP頭部讓瀏覽器與服務器進行溝通，從而決定請求或響應是應該成功仍是失敗。

服務器端對於CORS的支持，主要就是經過設置Access-Control-Allow-Origin來進行的。若是瀏覽器檢測到相應的設置，就能夠容許Ajax進行跨域的訪問。

只須要在後臺中加上響應頭來容許域請求！在被請求的Response header中加入如下設置，就能夠實現跨域訪問了！

//指定容許其餘域名訪問
'Access-Control-Allow-Origin:*'//或指定域
//響應類型
'Access-Control-Allow-Methods:GET,POST'
//響應頭設置
'Access-Control-Allow-Headers:x-requested-with,content-type'

（2）經過jsonp跨域

JSONP是JSON with Padding（填充式json）的簡寫，是應用JSON的一種新方法，只不過是被包含在函數調用中的JSON，例如：

callback({"name","trigkit4"});

JSONP由兩部分組成：回調函數和數據。回調函數是當響應到來時應該在頁面中調用的函數，而數據就是傳入回調函數中的JSON數據。

JSONP的原理：經過script標籤引入一個js文件，這個js文件載入成功後會執行咱們在url參數中指定的函數，而且會把咱們須要的json數據做爲參數傳入。因此jsonp是須要服務器端的頁面進行相應的配合的。（即用javascript動態加載一個script文件，同時定義一個callback函數給script執行而已。）

在js中，咱們直接用XMLHttpRequest請求不一樣域上的數據時，是不能夠的。可是，在頁面上引入不一樣域上的js腳本文件倒是能夠的，jsonp正是利用這個特性來實現的。 例如：

有個a.html頁面，它裏面的代碼須要利用ajax獲取一個不一樣域上的json數據，假設這個json數據地址是http://example.com/data.php,那麼a.html中的代碼就能夠這樣：

<script type="text/javascript">
    function dosomething(jsondata){
        //處理得到的json數據
    }
</script>
<script src="http://example.com/data.php?callback=dosomething"></script>

js文件載入成功後會執行咱們在url參數中指定的函數，而且會把咱們須要的json數據做爲參數傳入。因此jsonp是須要服務器端的頁面進行相應的配合的。

<?php
$callback = $_GET['callback'];//獲得回調函數名
$data = array('a','b','c');//要返回的數據
echo $callback.'('.json_encode($data).')';//輸出
?>

最終，輸出結果爲：dosomething(['a','b','c']);

若是你的頁面使用jquery，那麼經過它封裝的方法就能很方便的來進行jsonp操做了。

<script type="text/javascript">
    $.getJSON('http://example.com/data.php?callback=?,function(jsondata)'){
        //處理得到的json數據
    });
</script>

jquery會自動生成一個全局函數來替換callback=?中的問號，以後獲取到數據後又會自動銷燬，實際上就是起一個臨時代理函數的做用。$.getJSON方法會自動判斷是否跨域，不跨域的話，就調用普通的ajax方法；跨域的話，則會以異步加載js文件的形式來調用jsonp的回調函數。

JSONP的優缺點

JSONP的優勢是：它不像XMLHttpRequest對象實現的Ajax請求那樣受到同源策略的限制；它的兼容性更好，在更加古老的瀏覽器中均可以運行，不須要XMLHttpRequest或ActiveX的支持；而且在請求完畢後能夠經過調用callback的方式回傳結果。

JSONP的缺點則是：它只支持GET請求而不支持POST等其它類型的HTTP請求；它只支持跨域HTTP請求這種狀況，不能解決不一樣域的兩個頁面之間如何進行JavaScript調用的問題。

CORS和JSONP對比

CORS與JSONP相比，無疑更爲先進、方便和可靠。

一、 JSONP只能實現GET請求，而CORS支持全部類型的HTTP請求。

    二、 使用CORS，開發者可使用普通的XMLHttpRequest發起請求和得到數據，比起JSONP有更好的錯誤處理。

    三、 JSONP主要被老的瀏覽器支持，它們每每不支持CORS，而絕大多數現代瀏覽器都已經支持了CORS）。

（3）經過修改document.domain來跨子域

瀏覽器都有一個同源策略，其限制之一就是第一種方法中咱們說的不能經過ajax的方法去請求不一樣源中的文檔。 它的第二個限制是瀏覽器中不一樣域的框架之間是不能進行js的交互操做的。
不一樣的框架之間是能夠獲取window對象的，但卻沒法獲取相應的屬性和方法。好比，有一個頁面，它的地址是http://www.example.com/a.html ， 在這個頁面裏面有一個iframe，它的src是http://example.com/b.html, 很顯然，這個頁面與它裏面的iframe框架是不一樣域的，因此咱們是沒法經過在頁面中書寫js代碼來獲取iframe中的東西的：

<script type="text/javascript">
    function test(){
        var iframe = document.getElementById('ifame');
        var win = document.contentWindow;//能夠獲取到iframe裏的window對象，但該window對象的屬性和方法幾乎是不可用的
        var doc = win.document;//這裏獲取不到iframe裏的document對象
        var name = win.name;//這裏一樣獲取不到window對象的name屬性
    }
</script>
<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>

這個時候，document.domain就能夠派上用場了，咱們只要把http://www.example.com/a.html 和 http://example.com/b.html這兩個頁面的document.domain都設成相同的域名就能夠了。但要注意的是，document.domain的設置是有限制的，咱們只能把document.domain設置成自身或更高一級的父域，且主域必須相同。例如：a.b.example.com 中某個文檔的document.domain 能夠設成a.b.example.com、b.example.com 、example.com中的任意一個，可是不能夠設成 c.a.b.example.com,由於這是當前域的子域，也不能夠設成baidu.com,由於主域已經不相同了。

1.在頁面 http://www.example.com/a.html 中設置document.domain:

<iframe id = "iframe" src="http://example.com/b.html" onload = "test()"></iframe>
<script type="text/javascript">
    document.domain = 'example.com';//設置成主域
    function test(){
        alert(document.getElementById('iframe').contentWindow);//contentWindow 可取得子窗口的 window 對象
    }
</script>

2.在頁面 http://example.com/b.html 中也設置document.domain:

<script type="text/javascript">
    document.domain = 'example.com';//在iframe載入這個頁面也設置document.domain，使之與主頁面的document.domain相同
</script>

修改document.domain的方法只適用於不一樣子域的框架間的交互。

 

（4）使用window.name來進行跨域

window對象有個name屬性，該屬性有個特徵：即在一個窗口(window)的生命週期內,窗口載入的全部的頁面都是共享一個window.name的，每一個頁面對window.name都有讀寫的權限，window.name是持久存在一個窗口載入過的全部頁面中的，並不會因新頁面的載入而進行重置。

好比：有一個頁面a.html,它裏面有這樣的代碼：

 

再看看b.html頁面的代碼：

a.html頁面載入後3秒，跳轉到了b.html頁面，結果爲：

咱們看到在b.html頁面上成功獲取到了它的上一個頁面a.html給window.name設置的值。若是在以後全部載入的頁面都沒對window.name進行修改的話，那麼全部這些頁面獲取到的window.name的值都是a.html頁面設置的那個值。固然，若是有須要，其中的任何一個頁面均可以對window.name的值進行修改。注意，window.name的值只能是字符串的形式，這個字符串的大小最大能容許2M左右甚至更大的一個容量，具體取決於不一樣的瀏覽器，但通常是夠用了。

上面的例子中，咱們用到的頁面a.html和b.html是處於同一個域的，可是即便a.html與b.html處於不一樣的域中，上述結論一樣是適用的，這也正是利用window.name進行跨域的原理。

下面就來看一看具體是怎麼樣經過window.name來跨域獲取數據的。仍是舉例說明。

好比有一個www.example.com/a.html頁面,須要經過a.html頁面裏的js來獲取另外一個位於不一樣域上的頁面www.cnblogs.com/data.html裏的數據。

data.html頁面裏的代碼很簡單，就是給當前的window.name設置一個a.html頁面想要獲得的數據值。data.html裏的代碼：

那麼在a.html頁面中，咱們怎麼把data.html頁面載入進來呢？顯然咱們不能直接在a.html頁面中經過改變window.location來載入data.html頁面，由於咱們想要即便a.html頁面不跳轉也能獲得data.html裏的數據。答案就是在a.html頁面中使用一個隱藏的iframe來充當一箇中間人角色，由iframe去獲取data.html的數據，而後a.html再去獲得iframe獲取到的數據。

充當中間人的iframe想要獲取到data.html的經過window.name設置的數據，只須要把這個iframe的src設爲www.cnblogs.com/data.html就好了。而後a.html想要獲得iframe所獲取到的數據，也就是想要獲得iframe的window.name的值，還必須把這個iframe的src設成跟a.html頁面同一個域才行，否則根據前面講的同源策略，a.html是不能訪問到iframe裏的window.name屬性的。這就是整個跨域過程。

看下a.html頁面的代碼：

上面的代碼只是最簡單的原理演示代碼，你能夠對使用js封裝上面的過程，好比動態的建立iframe,動態的註冊各類事件等等，固然爲了安全，獲取完數據後，還能夠銷燬做爲代理的iframe。網上也有不少相似的現成代碼，有興趣的能夠去找一下。

經過window.name來進行跨域，就是這樣子的。

（5）使用HTML5的window.postMessage方法跨域

window.postMessage(message,targetOrigin)  方法是html5新引進的特性，可使用它來向其它的window對象發送消息，不管這個window對象是屬於同源或不一樣源，目前IE8+、FireFox、Chrome、Opera等瀏覽器都已經支持window.postMessage方法。

調用postMessage方法的window對象是指要接收消息的那一個window對象，該方法的第一個參數message爲要發送的消息，類型只能爲字符串；第二個參數targetOrigin用來限定接收消息的那個window對象所在的域，若是不想限定域，可使用通配符 *  。

須要接收消息的window對象，但是經過監聽自身的message事件來獲取傳過來的消息，消息內容儲存在該事件對象的data屬性中。

上面所說的向其餘window對象發送消息，其實就是指一個頁面有幾個框架的那種狀況，由於每個框架都有一個window對象。在討論第二種方法的時候，咱們說過，不一樣域的框架間是能夠獲取到對方的window對象的，並且也可使用window.postMessage這個方法。下面看一個簡單的示例，有兩個頁面

咱們運行a頁面後獲得的結果:

咱們看到b頁面成功的收到了消息。

使用postMessage來跨域傳送數據仍是比較直觀和方便的，可是缺點是IE六、IE7不支持，因此用不用還得根據實際須要來決定。

 

（6）web sockets

web sockets是一種瀏覽器的API，它的目標是在一個單獨的持久鏈接上提供全雙工、雙向通訊。(同源策略對web sockets不適用)

web sockets原理：在js建立了web socket以後，會有一個HTTP請求發送到瀏覽器以發起鏈接。取得服務器響應後，創建的鏈接會使用HTTP升級從HTTP協議交換爲web sockt協議。

只有在支持web socket協議的服務器上才能正常工做。

var socket = new WebSockt('ws://www.baidu.com');//http->ws; https->wss
socket.send('hello WebSockt');
socket.onmessage = function(event){
    var data = event.data;
}

 

（7）圖像ping（單向）

    一、什麼是圖像ping： 

        圖像ping是與服務器進行簡單、單向的跨域通訊的一種方式，請求的數據是經過查詢字符串的形式發送的，而相應能夠是任意內容，但一般是像素圖或204相應（No Content）。 圖像ping有兩個主要缺點：首先就是隻能發送get請求，其次就是沒法訪問服務器的響應文本。

   二、使用方法：

var img = new Image();
img.onload = img.onerror = function(){
alert("done!");
};
img.src = "https://raw.githubusercontent.com/zhangmengxue/Todo-List/master/me.jpg";
document.body.insertBefore(img,document.body.firstChild);

而後頁面上就能夠顯示我放在個人github上某個地方的照片啦。

與<img>相似的能夠跨域內嵌資源的還有:

(1)<script src=""></script>標籤嵌入跨域腳本。語法錯誤信息只能在同源腳本中捕捉到。上面jsonp也用到了呢。

(2) <link src="">標籤嵌入CSS。因爲CSS的鬆散的語法規則，CSS的跨域須要一個設置正確的Content-Type消息頭。不一樣瀏覽器有不一樣的限制： IE, Firefox, Chrome, Safari (跳至CVE-2010-0051)部分 和 Opera。

(3)<video> 和 <audio>嵌入多媒體資源。

(4)<object>, <embed> 和 <applet>的插件。

(5)@font-face引入的字體。一些瀏覽器容許跨域字體（ cross-origin fonts），一些須要同源字體（same-origin fonts）。

(6) <frame> 和 <iframe>載入的任何資源。站點可使用X-Frame-Options消息頭來阻止這種形式的跨域交互。